Alkalmazás kliens tanúsítványa frissítése

A következőkre vonatkozik: Azure Database for PostgreSQL – Rugalmas kiszolgáló

Gyökér CA tanúsítványok importálása a Java Key Store-ba az ügyfél oldalán tanúsítvány-eljárásokhoz.

Az egyénileg írt Java-alkalmazások egy alapértelmezett, úgynevezett cacertskulcstárat használnak, amely megbízható hitelesítésszolgáltatói (CA-) tanúsítványokat tartalmaz. Java megbízhatósági tárolónak is nevezik. A tanúsítványfájl neve cacerts a java.home\lib\security biztonsági tulajdonságkönyvtárban található, ahol a java.home a futtatókörnyezet könyvtára (az jre SDK könyvtára vagy a Java™ 2 Futtatókörnyezet legfelső szintű könyvtára). A rugalmas PostgreSQL-kiszolgálóval az ügyféltanúsítvány-rögzítési forgatókönyvek ügyfélszintű hitelesítésszolgáltatói tanúsítványainak frissítéséhez a következő útmutatást használhatja:

1. Ellenőrizze cacerts a Java keystore-t, hogy tartalmazza-e már a szükséges tanúsítványokat. A Java-kulcstárban a következő paranccsal listázhatja a tanúsítványokat:

  keytool -list -v -keystore ..\lib\security\cacerts > outputfile.txt

Ha a szükséges tanúsítványok nem szerepelnek az ügyfél Java-kulcstárolójában, ahogyan az a kimenetben is be van jelölve, a következő utasításokat kell követnie:

1. Készítsen biztonsági másolatot az egyéni kulcstárról.

2. Töltse le a tanúsítványokat, és mentse őket helyileg, ahol hivatkozhat rájuk.

3. Hozzon létre egy összevont hitelesítésszolgáltatói tanúsítványtárolót, amely tartalmazza az összes szükséges legfelső szintű hitelesítésszolgáltatói tanúsítványt. Az alábbi példa a DefaultJavaSSLFactory használatát mutatja be a PostgreSQL JDBC-felhasználók számára.

       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootG2.crt.pem   -keystore truststore -storepass password -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert2  -file "D:\ Microsoft ECC Root Certificate Authority 2017.crt.pem" -keystore truststore -storepass password  -noprompt
   
       keytool -importcert -alias PostgreSQLServerCACert  -file D:\ DigiCertGlobalRootCA.crt.pem   -keystore truststore -storepass password -noprompt
   

4. Cserélje le az eredeti keystore-fájlt az új létrehozott fájlra:

   System.setProperty("javax.net.ssl.trustStore","path_to_truststore_file");
   System.setProperty("javax.net.ssl.trustStorePassword","password");
   

5. Cserélje le az eredeti legfelső szintű hitelesítésszolgáltatói pem-fájlt az egyesített legfelső szintű hitelesítésszolgáltatói fájlra, és indítsa újra az alkalmazást/ügyfelet.

Az ügyféltanúsítványok PostgreSQL JDBC-illesztővel való konfigurálásáról további információt ebben a dokumentációban talál.

Feljegyzés

Ha tanúsítványokat szeretne importálni az ügyféltanúsítvány-tárolókba, előfordulhat, hogy a tanúsítvány .crt fájljait .pem formátumba kell konvertálnia. Az OpenSSL segédprogrammal elvégezheti ezeket a fájlkonverziókat.

Megbízható tanúsítványok listájának lekérése a Java Key Store-ban programozott módon

Alapértelmezés szerint a Java egy speciális fájlban cacerts tárolja a megbízható tanúsítványokat, amely az ügyfél Java telepítési mappájában található. Az alábbi példa először beolvassa és betölti cacerts a KeyStore-objektumba :

private KeyStore loadKeyStore() {
    String relativeCacertsPath = "/lib/security/cacerts".replace("/", File.separator);
    String filename = System.getProperty("java.home") + relativeCacertsPath;
    FileInputStream is = new FileInputStream(filename);
    KeyStore keystore = KeyStore.getInstance(KeyStore.getDefaultType());
    String password = "changeit";
    keystore.load(is, password.toCharArray());

    return keystore;
}

Az alapértelmezett jelszó az cacertschangeit , de a valódi ügyfélen eltérőnek kell lennie, mivel a rendszergazdák azt javasolják, hogy a Java telepítése után azonnal módosítsa a jelszót. Miután betöltöttük a KeyStore objektumot, a PKIXParameters osztály használatával olvashatjuk a jelen lévő tanúsítványokat.

public void whenLoadingCacertsKeyStore_thenCertificatesArePresent() {
    KeyStore keyStore = loadKeyStore();
    PKIXParameters params = new PKIXParameters(keyStore);
    Set<TrustAnchor> trustAnchors = params.getTrustAnchors();
    List<Certificate> certificates = trustAnchors.stream()
      .map(TrustAnchor::getTrustedCert)
      .collect(Collectors.toList());

    assertFalse(certificates.isEmpty());
}

A gyökér hitelesítésszolgáltatói tanúsítványok frissítése az Azure App Servicesben lévő ügyfelek használatakor, a tanúsítvány rögzítési forgatókönyvekhez.

Az Azure App Services esetében, amikor rugalmas Azure Database for PostgreSQL-kiszolgálóhoz csatlakozik, két lehetséges forgatókönyvünk lehet az ügyféltanúsítványok frissítésére, és attól függ, hogyan használja az SSL-t az Azure App Servicesben üzembe helyezett alkalmazással.

• A rugalmas Azure Database for PostgreSQL-kiszolgálón történő módosítások előtt a rendszer platformszinten új tanúsítványokat ad hozzá az App Service-hez. Ha az App Service-platformon található SSL-tanúsítványokat használja az alkalmazásban, nincs szükség műveletre. További információ: TLS/SSL-tanúsítványok hozzáadása és kezelése az Azure App Service-ben az Azure App Service dokumentációjában.
• Ha kifejezetten bele van adva az SSL-tanúsítványfájl elérési útja a kódba, le kell töltenie az új tanúsítványt, és frissítenie kell a kódot a használatához. Erre a forgatókönyvre jó példa az, amikor egyéni tárolókat használ az App Service-ben, amint az az Tutorial: Oldalkocsis tároló konfigurálása egyéni tárolóhoz az Azure App Service-ben című leírásban, az Azure App Service dokumentációjában szerepel.

Gyökér CA tanúsítványok frissítése az ügyfelek Azure Kubernetes Service (AKS) használata esetén, a tanúsítvány rögzítési forgatókönyvekhez.

Ha az Azure Database for PostgreSQL-hez az Azure Kubernetes Servicesben (AKS) üzemeltetett alkalmazásokkal és a tanúsítványok rögzítésével próbál csatlakozni, az hasonló a dedikált ügyfél gazdagépkörnyezetéből való hozzáféréshez. Tekintse meg az itt leírt lépéseket.

A Windowsos .NET (Npgsql) felhasználók gyökér hitelesítésszolgáltatói tanúsítványainak frissítése a tanúsítvány rögzítési forgatókönyveihez

Azok számára, akik Windows rendszeren .NET (Npgsql) használatával csatlakoznak az Azure Database for PostgreSQL rugalmas kiszolgálóihoz, győződjön meg arról, hogy a mindhárom, a Microsoft RSA Root Certificate Authority 2017, a DigiCert Global Root G2 és a Digicert Global Root CA, megtalálható a Windows tanúsítványtárolóban, a Megbízható legfelső szintű hitelesítésszolgáltatóknál. Ha nem léteznek tanúsítványok, importálja a hiányzó tanúsítványt.

Fő hitelesítésszolgáltatói tanúsítványok frissítése más ügyfelek számára a tanúsítvány rögzítési forgatókönyvei esetén

Más PostgreSQL-ügyfélfelhasználók esetében két hitelesítésszolgáltatói tanúsítványfájlt egyesíthet a következő formátumban:

-----BEGIN CERTIFICATE-----
(Root CA1: DigiCertGlobalRootCA.crt.pem)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(Root CA2: Microsoft ECC Root Certificate Authority 2017.crt.pem)
-----END CERTIFICATE-----

Kapcsolódó tartalom

• Biztonság az Azure Database for PostgreSQL rugalmas kiszolgálójában.